CN106534201A - 一种sdn环境下的虚拟机风险快速隔离方法 - Google Patents
一种sdn环境下的虚拟机风险快速隔离方法 Download PDFInfo
- Publication number
- CN106534201A CN106534201A CN201611219904.9A CN201611219904A CN106534201A CN 106534201 A CN106534201 A CN 106534201A CN 201611219904 A CN201611219904 A CN 201611219904A CN 106534201 A CN106534201 A CN 106534201A
- Authority
- CN
- China
- Prior art keywords
- risk
- virtual machine
- vxlan
- numerical value
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于SDN环境的虚拟机风险快速隔离方法,包括步骤1:设定VXLAN中虚拟机的风险阈值,设定虚拟机的风险数值计时器计时时间;步骤2:SDN控制器对VXLAN中的虚拟机进行风险评估,并将风险评估结果表示为风险数值,同时启动每个虚拟机的风险数值计时器,执行步骤3;步骤3:将风险数值与风险阈值进行比较,根据比较结果更新该虚拟机所在的VXLAN为隔离VXLAN或正常VXLAN,并填充其Reserved字段,执行步骤4;步骤4:当某一虚拟机的风险数值计时器达到设定的计时器计时时间时,对该特定虚拟机执行上述步骤2。本发明能够将SDN环境下的风险虚拟机进行快速隔离且实现动态循环的防止SDN环境下的虚拟机中的安全风险通过东西向流量扩散到正常VXLAN中的其他虚拟机。
Description
技术领域
本发明属于SDN环境下的安全控制领域,特别涉及一种SDN环境下的虚拟机风险快速隔离方法。
背景技术
软件定义网络(Software Defined Network, 缩写SDN),是由美国斯坦福大学clean slate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。
在现有的SDN环境下,分布在各物理机上的虚拟机数量庞大,例如阿里云有10万级别的虚拟机,亚马逊则有百万级别的虚拟机。各虚拟机之间可能位于不同的地理位置,甚至分布在跨国的数据中心,因此主要采用VXLAN(Virtual Extend LAN,虚拟可扩展局域网)的方式进行大二层连接。在日常的SDN环境下虚拟机管理中,虚拟机可以和同一VNI号下VXLAN网络中的异地虚拟机进行通信。
有一种将二层报文用三层协议进行封装的技术称为VXLAN,可以对二层网络在三层范围进行扩展。每个覆盖域被称为VXLAN segment,它的ID是由位于VXLAN数据包头中的VXLAN Network Identifier(VNI,VXLAN网络标识符)标识的。VNI字段包含24 bits,故segments最大数量为2的24次方,约合16M个。并且只有在相同VXLAN segment内的虚拟机之间才可以相互通信。根据VXLAN的封包方式,也可以将它看作一种隧道模式的网络覆盖技术,这种隧道是无状态的。
由于VXLAN在物理网络的边缘设置智能实体VTEP,故能够实现虚拟网络和物理网络的隔离。VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)是VXLAN的边缘设备,进行VXLAN业务处理:识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN报文等。VTEP之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。
有一种特殊的恶意软件称为Rookit,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
一种运行在物理服务器和操作系统之间的中间软件层称为Hypervisor,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(VirtualMachine Monitor)。
软件定义网络(SDN)中有一种应用程序称为SDN控制器,SDN控制器负责流量控制以确保智能网络;SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。事实上,SDN控制器是作为网络的一种操作系统(OS),控制器不控制网络硬件而是作为软件运行,这样有利于网络自动化管理。基于软件的网络控制使得集成业务申请和网络更容易。
现有SDN环境只考虑了网络中虚拟机的正常通信实现,缺乏对所有VNI中的虚拟机的安全性考量,当同一VXLAN中的虚拟机存在安全性缺陷或某一虚拟机在运行过程中被攻破(被黑客入侵、病毒感染、植入木马等)时,该安全风险可能通过东西向流量扩散到同一VXLAN的其他虚拟机,如果是跨异地的VXLAN环境下,则异地数据中心也很有可能被该安全风险所影响。
专利申请号为201510342217.5的发明专利公开了一种基于可信计算的虚拟机准入方法及装置,该发明的发明内容侧重于对虚拟机的基本信息进行度量,根据度量结果判断是否允许单个虚拟机进入可信计算池。但该发明不是在SDN环境下操作的,仅限于在虚拟机初始化创建阶段进行安全性评估,无法实现对SDN环境下虚拟机风险的快速隔离,也无法解决虚拟机在SDN通信环境下由于自身状态的实时改变,将安全性缺陷、安全性风险通过东西向流量扩散到同一VXLAN其他虚拟机甚至异地数据中心的问题。
发明内容
本发明提供了一种SDN环境下的虚拟机风险快速隔离方法,其目的旨在克服上述现有技术的缺陷。
本发明的目的是通过下述技术方案实现的:
一种SDN环境下的虚拟机风险快速隔离方法,包括下述步骤:
步骤1:设定VXLAN中虚拟机的风险阈值,设定虚拟机的风险数值计时器计时时间;
步骤2:SDN控制器对VXLAN中的虚拟机进行风险评估,并将风险评估结果表示为风险数值,同时启动每个虚拟机的风险数值计时器,执行步骤3;
步骤3:将风险数值与风险阈值进行比较,如果某一虚拟机的风险数值大于或者等于风险阈值,则将该特定虚拟机的数据流量置于隔离VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为隔离风险等级代码;如果某一虚拟机的风险数值小于风险阈值,则将该特定虚拟机的数据流量置于正常VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为正常风险等级代码,执行步骤4;
步骤4:当某一虚拟机的风险数值计时器达到设定的计时器计时时间时,对该特定虚拟机执行上述步骤2。
在上述技术方案的基础上,本发明可附加下述技术手段,以便更好地或者更有针对性地解决本发明所要解决的技术问题:
所述隔离VXLAN包括完全隔离VXLAN、修复隔离VXLAN,所述隔离风险等级代码包括完全隔离风险等级代码、修复隔离风险等级代码,当某一特定虚拟机的风险数值大于风险阈值且风险数值减风险阈值的差值大于或等于20时,将该特定虚拟机的数据流量置于完全隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为完全隔离风险等级代码;当某一特定虚拟机的风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20时,将该特定虚拟机的数据流量置于修复隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为修复隔离风险等级代码。
进一步地,所述风险数值的评估要素由操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值中的一种或几种因子构成;所述SDN控制器在生成风险数值的同时一并生成与风险数值一一对应的风险等级代码,并在SDN控制器上形成虚拟机和风险等级代码的实时对应表,所述风险数值、风险等级代码、实时对应表保存在SDN控制器上。
进一步地,采用下述方法将虚拟机的数据流量置于隔离VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新该虚拟机对应的VXLAN的VNI号为隔离VXLAN的VNI号;该虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入隔离VXLAN的VNI号。
进一步地,采用下述方法将虚拟机的数据流量置于正常VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新虚拟机对应的VXLAN的VNI号为正常VXLAN的VNI号。虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入正常VXLAN的VNI号,使虚拟机的所有通信报文被正常转发至目的VXLAN中。
进一步地,所述风险阈值为判断虚拟机是否存在高风险的基线值,风险阈值是由VXLAN的SDN控制器进行设置和保存,风险阈值的设定依据包括但不限于云服务种类(SaaS、PaaS、IaaS等)、虚拟机工作方式(单机工作、分布式工作、集群工作等)、外围安全强度等。0表示在评估范围内没有出现任何已知风险,60表示可接受的最低风险数值,100表示在评估范围可能出现的最大已知风险;经多次反复测试,发明人发现将风险阈值的范围设定为70~80时效果最好。
进一步地,本发明为了更好地动态循环地解决已有云计算模型中虚拟机的安全性缺陷和风险容易通过东西向流量扩散到同一VXLAN下其他虚拟机的问题,采用了动态调整虚拟机通信范围的技术手段,亦即指虚拟机风险数值计时器到达设定的计时时间后,由SDN控制器启动新一轮的虚拟机风险评估任务,并再次判断将某一特定虚拟机置于VXLAN中的何种区域范围及采取何种应对管控措施,由此循环往复。现实中设定的虚拟机风险数值计时器的计时时间均大于SDN控制器完成步骤2和步骤3所需的时间,如果设定时间小于SDN控制器完成步骤2和步骤3所需的时间则不具有实用性;SDN控制器在完成步骤2和步骤3之后、计时时间达到设定的计时器的计时时间之前不再进行其他操作;鉴于SDN控制器的性能要求,以及虚拟机状态变化的平均测定时间,如果设定时间较短则检测频率较高,能及时发现高风险虚拟机并隔离,可降低高风险虚拟机对网络安全的危害,但同时也会加重网络的运行负荷;如果设定时间较长,则在此周期中虚拟机被感染机率较大,等到再检测时可能已经危害到其它虚拟机甚至整个网络,无法起到应有的安全保护作用,经多次反复测试,发明人发现将所述计时器计时时间设置在30至40分钟之间时效果最好。
进一步地,本发明中风险数值的评估要素由多种因子构成,包括但不限于操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值等其中的一种或几种;风险数值的计算方式包括但不限于取平均值、加权平均值等。
采用取平均值法计算风险数值的情况时:风险数值=(操作系统版本风险数值+系统漏洞风险数值+数据库漏洞风险数值+配置文件内容变动风险数值+Hypervisor模块完整性风险数值+木马风险数值+Rootkit风险数值)/7;
采用加权平均值法计算风险数值的情况时:操作系统版本风险加权值设定为0.2,系统漏洞风险加权值设定为0.1,数据库漏洞风险加权值设定为0.1,其余4项因素加权值均设定为0.15,具体计算方式为如下:风险数值=操作系统版本风险数值*0.2+系统漏洞风险数值*0.1+数据库漏洞风险数值*0.1+配置文件内容变动风险数值*0.15+Hypervisor模块完整性风险数值*0.15+木马风险数值*0.15+Rootkit风险数值*0.15。
本发明中风险数值评估指SDN控制器综合利用远程扫描和本地插件扫描对指定虚拟机的操作系统版本、系统漏洞、数据库漏洞、配置文件内容变动、Hypervisor模块完整性、木马、Rootkit等环境进行探测,并依据模板得出不匹配项,根据不匹配项的权重和分值比例计算出风险数值。
需要说明的是,实践中隔离VXLAN的具体类型不限于完全隔离VXLAN、修复隔离VXLAN,相应地,隔离风险等级代码的种类亦不限于完全隔离风险等级代码、修复隔离风险等级代码,可以根据实际需要进行相应的变更。同理,相应风险等级的具体区域范围划分也可以根据实际需要进行灵活的划定。
本发明中VXLAN 报文头中的Reserved字段可以根据风险程度进行风险等级代码填充,风险等级代码表示对应虚拟机的风险可接受程度。本发明中风险等级具体用0x01、0x02、0x03、0x04四个风险等级代码表示,其中0x02表示风险数值小于风险阈值,对应的虚拟机可以进入正常VXLAN中进行访问;0x01表示风险数值大于等于风险阈值,对应虚拟机需要进入隔离VXLAN中进行相应限制;0x03表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机需要进入修复隔离VXLAN中进行修复;0x04表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要进入完全隔离VXLAN中进行完全隔离,不能够访问任何VXLAN。在实践中可以根据需要灵活设置风险等级阶梯及相应的风险等级代码。
需要说明的是,本发明的VXLAN报文头字段(英文VXLAN Header,共8字节)包括4个部分,依序分别为:VXLAN 标记字段(英文VXLAN Flags,共1字节)、VXLAN 保留字段(英文VXLAN Reserved,共3字节)、VXLAN 虚拟网络号字段(英文VXLAN VNI号,共3字节)、VXLAN保留字段(英文VXLAN Reserved,共1字节),本发明中,SDN控制器通知VTEP在虚拟机通信数据包的此VXLAN报文头字段中的最后一个VXLAN 保留字段中填充入风险等级代码。
本发明中的计时器是现有技术,是程序设计中很简单的代码,不属于本发明的内容。计时器可以在各种编程语言(如C、java)的库中找到函数原型,当计时器达到设定的计时时间(超时)后能够产生中断或任务跳转。
本发明内容对不同VXLAN中的虚拟机同样具有适用性,可对不同的VXLAN中的虚拟机设定不同的风险阈值,风险阈值同样是由VXLAN的SDN控制器进行设置和保存。
本发明的技术原理在于,利用SDN环境中VXLAN报文用于通信处理的VNI字段实现安全控制功能,对虚拟机进行网络流量隔离和恢复,从而达到了对高危虚拟机在SDN环境中自动进行风险隔离的目的;进一步地,利用SDN网络中VXLAN报文中保留未使用的Reserved字段,填充为虚拟机的风险等级代码,从而引导VTEP设备对不同风险等级的虚拟机采取不同的通信管控手段。通过以上两种字段的操控,实现了SDN环境下随时对任意虚拟机进行隔离且将不同风险等级虚拟机隔离到不同区域的目的,再结合计时器的动态循环操作功能,每当各虚拟机的风险数值计数器超时时,SDN控制器自动对该虚拟机进行新一轮的风险评估和VXLAN更新工作,从而动态循环的防止SDN环境下的虚拟机中的安全风险通过东西向流量扩散到正常VXLAN中的其他虚拟机。
本发明具有以下有益效果:(1)解决了已有云计算模型中虚拟机的安全性缺陷和风险容易通过东西向流量扩散到同一VXLAN下其他虚拟机的问题;(2)最快能够实现小于1秒的时间间隔内将SDN环境下的风险虚拟机进行快速隔离,本发明与现有技术中的物理隔离相比增快了97%,从而保证云计算的安全,现有的物理隔离方法所需时间不低于1分钟;(3)在已有软件和协议基础上通过方法改造实现了安全效果,无须额外增加硬件设备,达到了软件定义安全(Software Defined Security,SDS)的目标; (4)本发明首次将VXLAN用于隔离不安全虚拟机的技术领域;首次使用VXLAN header中的reserved字段来定义虚拟机安全性;现有技术中VXLAN用于实现正常通信功能;(5)首次实现动态地调整虚拟机的通信范围,现有技术中虚拟机的通信范围是从投入使用后就固定静态的。
附图说明
图1是本发明的逻辑框图。
具体实施方式
在一个典型的包括虚拟机、SDN控制器、VTEP设备的VXLAN配置网络中,虚拟机可为一个或者多个,VTEP设备用于协助SDN控制器实现管理需求。
为了清楚地说明本发明的技术方案,以下结合附图详细介绍本发明的实施例。
实施例一
如图1所示,一种基于SDN环境的虚拟机风险快速隔离方法,其包括如下步骤:
步骤1:设定VXLAN中虚拟机的风险阈值,设定虚拟机风险数值计时器计时时间;
步骤2:SDN控制器对VXLAN中的虚拟机进行风险评估,并将风险评估结果表示为风险数值,同时启动每个虚拟机的风险数值计时器,执行步骤3;
步骤3:将风险数值与风险阈值进行比较,如果某一虚拟机的风险数值大于或者等于风险阈值,则将该特定虚拟机的数据流量置于隔离VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为隔离风险等级代码;如果某一虚拟机的风险数值小于风险阈值,则将该特定虚拟机的数据流量置于正常VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为正常风险等级代码,执行步骤4;
步骤4:当某一虚拟机的风险数值计时器达到设定的计时器计时时间时,对该特定虚拟机执行上述步骤2。
作为本实施例的一种备选方案,所述隔离VXLAN包括完全隔离VXLAN、修复隔离VXLAN,所述隔离风险等级代码包括完全隔离风险等级代码、修复隔离风险等级代码,当某一特定虚拟机的风险数值大于风险阈值且风险数值减风险阈值的差值大于或等于20时,将该特定虚拟机的数据流量置于完全隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为完全隔离风险等级代码;当某一特定虚拟机的风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20时,将该特定虚拟机的数据流量置于修复隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为修复隔离风险等级代码。
作为本实施例的一种备选方案,所述风险数值的评估要素由操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值中的一种或几种因子构成;所述SDN控制器在生成风险数值的同时一并生成与风险数值一一对应的风险等级代码,并在SDN控制器上形成虚拟机和风险等级代码的实时对应表,所述风险数值、风险等级代码、实时对应表保存在SDN控制器上。
作为本实施例的一种备选方案,采用下述方法将虚拟机的数据流量置于隔离VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新该虚拟机对应的VXLAN的VNI号为隔离VXLAN的VNI号;该虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入隔离VXLAN的VNI号。
作为本实施例的一种备选方案,采用下述方法将虚拟机的数据流量置于正常VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新虚拟机对应的VXLAN的VNI号为正常VXLAN的VNI号。虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入正常VXLAN的VNI号,使虚拟机的所有通信报文被正常转发至目的VXLAN中。
本实施例中,所述风险阈值为判断虚拟机是否存在高风险的基线值,风险阈值是由VXLAN的SDN控制器进行设置和保存,风险阈值的设定依据包括但不限于云服务种类(SaaS、PaaS、IaaS等)、虚拟机工作方式(单机工作、分布式工作、集群工作等)、外围安全强度等。0表示在评估范围内没有出现任何已知风险,60表示可接受的最低风险数值,100表示在评估范围可能出现的最大已知风险,风险阈值可设定为60至100之间的任何数值,经多次反复测试,发明人发现将风险阈值的范围设定为70~80时效果最好。
计时器计时时间可设置为任意正数,SDN控制器在完成步骤2和步骤3之后、计时时间达到设定的计时器的计时时间之前不再进行其他操作;经多次反复测试,发明人发现将所述计时器计时时间设置在30至40分钟之间时效果最好。
本实施例中风险数值由多种因子构成,包括但不限于操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值等其中的一种或几种;风险数值的计算方式包括但不限于取平均值、加权平均值等。
采用取平均值法计算风险数值的情况时:风险数值=(操作系统版本风险数值+系统漏洞风险数值+数据库漏洞风险数值+配置文件内容变动风险数值+Hypervisor模块完整性风险数值+木马风险数值+Rootkit风险数值)/7;
采用加权平均值法计算风险数值的情况时:操作系统版本风险加权值设定为0.2,系统漏洞风险加权值设定为0.1,数据库漏洞风险加权值设定为0.1,其余4项因素加权值均设定为0.15,具体计算方式为如下:风险数值=操作系统版本风险数值*0.2+系统漏洞风险数值*0.1+数据库漏洞风险数值*0.1+配置文件内容变动风险数值*0.15+Hypervisor模块完整性风险数值*0.15+木马风险数值*0.15+Rootkit风险数值*0.15。
上述过程是一个动态循环的过程,每当各虚拟机的风险数值计数器超时时,SDN控制器自动对该特定虚拟机进行新一轮的风险评估和VXLAN更新工作。
实施例二
本实施例中用VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VM10、VM20、VM30、VM40、VM50、VM60表示6台虚拟机,由服务器虚拟化生成并默认接入到VNI1000,所述虚拟机由SDN控制器指定VTEP设备设置网络参数并建立与SDN控制器的通信隧道,VXLAN报文头中的Reserved字段填入风险等级代码,正常VXLAN网络中对应的虚拟机可以进入正常VXLAN进行访问,隔离VXLAN网络中对应的虚拟机可以根据具体情况进一步区分处理。
一种SDN环境下的虚拟机风险快速隔离方法,包括下述步骤:
步骤1:将VXLAN中虚拟机的风险阈值设定为60,设定虚拟机风险数值计时器计时时间为30分钟;
步骤2:SDN控制器对VXLAN中的虚拟机进行风险评估,虚拟机VM10、VM20、VM30、VM40、VM50、VM60的风险数值测定结果依次为90、80、70、60、50、40,同时启动虚拟机VM10、VM20、VM30、VM40、VM50、VM60的风险数值计时器,执行步骤3;
步骤3:将风险数值与风险阈值进行比较,虚拟机VM10和VM20的风险数值与风险阈值差值分别为30和20,将虚拟机VM10和VM20的 VNI号保持为VNI1000,同时将虚拟机VM10和VM20的VXLAN报文头中的Reserved字段保持为0x01;虚拟机VM30和VM40的风险数值与风险阈值差值分别为10和0,将虚拟机VM30和VM40的 VNI号保持为VNI1000,同时将虚拟机VM30和VM40的VXLAN报文头中的Reserved字段保持为0x01;虚拟机VM50和VM60的风险数值均小于风险阈值,将虚拟机VM50和VM60 的VNI号更新为VNI2000,将虚拟机VM50和VM60的VXLAN报文头中的Reserved字段重置为0x02,执行步骤4;
步骤4:虚拟机VM10、VM20、VM30、VM40、VM50、VM60的风险数值计时器的计时达到设定的计时器计时时间30分钟时,执行步骤2;步骤2具体为:SDN控制器对VXLAN中的虚拟机进行新一轮的风险评估,虚拟机VM10、VM20、VM30、VM40、VM50、VM60的新一轮风险数值测定结果依次为94、80、66、55、52、20,同时启动虚拟机VM10、VM20、VM30、VM40、VM50、VM60的风险数值计时器,再次进行计时,并执行步骤3(步骤3具体为:将风险数值与风险阈值进行比较,虚拟机VM10和VM20的风险数值与风险阈值差值分别为34和20,将虚拟机VM10和VM20 的VNI号保持为VNI1000,同时将虚拟机VM10和VM20的VXLAN报文头中的Reserved字段保持为0x01;虚拟机VM30的风险数值与风险阈值差值为6,将虚拟机VM30的 VNI号保持为VNI1000,同时将虚拟机VM30的VXLAN报文头中的Reserved字段保持为0x01;虚拟机VM40的风险数值小于风险阈值,将虚拟机VM40的VNI号更新为VNI2000,将虚拟机VM40的VXLAN报文头中的Reserved字段重置为0x02;虚拟机VM50和VM60的风险数值小于风险阈值,将虚拟机VM50和VM60 的VNI号保持为VNI2000,将虚拟机VM50和VM60的VXLAN报文头中的Reserved字段保持为0x02,执行步骤4)。
作为本实施例的一种备选方案,可将隔离VXLAN网络进一步划分为修复隔离VXLAN网络、完全隔离VXLAN网络,VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入修复隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示;具体为,步骤3中,将风险数值与风险阈值进行比较,虚拟机VM10和VM20的风险数值与风险阈值差值分别为30和20,将虚拟机VM10和VM20 的VNI号更新为VNI4000,同时将虚拟机VM10和VM20的VXLAN报文头中的Reserved字段重置为0x04;虚拟机VM30和VM40的风险数值与风险阈值差值分别为10和0,将虚拟机VM30和VM40 的VNI号更新为VNI3000,同时将虚拟机VM30和VM40的VXLAN报文头中的Reserved字段重置为0x03;虚拟机VM50和VM60的风险数值小于风险阈值,将虚拟机VM50和VM60的VNI号更新为VNI2000,将虚拟机VM50和VM60的VXLAN报文头中的Reserved字段重置为0x02。
作为本实施例的一种备选方案,所述风险数值的评估要素由操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值中的一种或几种因子构成;所述SDN控制器在生成风险数值的同时一并生成与风险数值一一对应的风险等级代码,并在SDN控制器上形成虚拟机和风险等级代码的实时对应表,所述风险数值、风险等级代码、实时对应表保存在SDN控制器上。
本实施例中,采用下述方法将虚拟机VM10、VM20和VM30、VM40 的VNI号保持为VNI1000:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,保持该虚拟机对应的VXLAN的VNI号为隔离VXLAN的VNI号VNI1000;该虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入隔离VXLAN的VNI号VNI1000,进而将VM10、VM20和VM30、VM40的数据流量置于隔离VXLAN中。
本实施例中,采用下述方法将虚拟机VM40、VM50和VM60 的VNI号更新为VNI2000:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新虚拟机对应的VXLAN的VNI号为正常VXLAN的VNI号VNI2000。虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入正常VXLAN的VNI号VNI2000,使虚拟机的所有通信报文被正常转发至目的VXLAN中。
作为本实施例的一种备选方案,风险阈值设定为70。
作为本实施例的一种备选方案,风险阈值设定为80。
作为本实施例的一种备选方案,风险阈值设定为90。
作为本实施例的一种备选方案,计时器计时时间设定为10分钟。
作为本实施例的一种备选方案,计时器计时时间设定为20分钟。
作为本实施例的一种备选方案,计时器计时时间设定为40分钟。
作为本实施例的一种备选方案,计时器计时时间设定为60分钟。
作为本实施例的一种备选方案,计时器计时时间设定为120分钟。
作为本实施例的一种备选方案,计时器计时时间设定为150分钟。
本实施例中,采用取平均值法计算风险数值,计算公式为:风险数值=(操作系统版本风险数值+系统漏洞风险数值+数据库漏洞风险数值+配置文件内容变动风险数值+Hypervisor模块完整性风险数值+木马风险数值+Rootkit风险数值)/7;
作为本实施例的一种备选方案,可采用加权平均值法计算风险数值,具体计算公式为:风险数值=操作系统版本风险数值*0.2+系统漏洞风险数值*0.1+数据库漏洞风险数值*0.1+配置文件内容变动风险数值*0.15+Hypervisor模块完整性风险数值*0.15+木马风险数值*0.15+Rootkit风险数值*0.15。
作为本实施例的一种备选方案,本发明中风险数值由多种因子构成,包括但不限于操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值等其中的一种或几种;风险数值的计算方式包括但不限于取平均值、加权平均值等。
实施例三
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入修复隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于正常VNI2000中,能够和VNI2000中的其他虚拟机进行通信,在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为60,设定虚拟机VM01的风险数值计时器计时时间为10分钟;SDN控制器对虚拟机VM01进行风险评估,风险评估要素为操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值,并最终计算出风险数值为92,同时启动虚拟机VM01的风险数值计时器;SDN控制器在生成风险数值的同时一并生成与风险数值一一对应的风险等级代码,形成虚拟机和风险等级代码的实时对应表,SDN控制器将风险数值、风险等级代码、实时对应表存储在本地,SDN控制器将风险数值与风险阈值进行比较,发现风险数值-风险阈值>=20,此时通知VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为4000,VXLAN报文头中的Reserved字段重置为值0x04;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为4000,Reserved字段填充为0x04,此时VM01被完全隔离,VTEP不会转发VM01的报文至包括正常VXLAN VNI2000以及隔离VXLAN VNI1000 中的任何虚拟机;虚拟机VM01的风险计时器超过10分钟时(达到设定的虚拟机VM01的风险数值计时器的计时时间10分钟时),SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
实施例四
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于正常VNI2000中,能够和正常VNI2000中的其他虚拟机进行通信;在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为70,设定虚拟机VM01的风险数值计时器计时时间为30分钟;SDN控制器对虚拟机VM01进行风险评估,风险评估要素为配置文件内容变动风险数值、Hypervisor模块完整性风险数值,并最终计算出风险数值为80,同时启动虚拟机VM01的风险数值计时器;SDN控制器将风险数值存储在本地并与风险阈值进行比较,发现风险数值-风险阈值 < 20,此时通知VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为3000,VXLAN报文头中的Reserved字段重置为值0x03;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为3000,Reserved字段填充为0x03,此时VM01只能够与VXLAN VNI3000中的其他虚拟机进行通信;虚拟机VM01的风险计时器超过30分钟时,SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
实施例五
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于修复隔离VXLAN VNI3000中,无法和正常VNI2000中的其他虚拟机进行通信;在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为75,设定虚拟机VM01的风险数值计时器计时时间为40分钟;SDN控制器对虚拟机VM01进行风险评估,风险评估要素为木马风险数值、Rootkit风险数值,并最终计算出风险数值为96,同时启动虚拟机VM01的风险数值计时器;SDN控制器将风险数值存储在本地并与风险阈值进行比较,发现风险数值-风险阈值>=20,此时通知VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为4000,VXLAN报文头中的Reserved字段重置为值0x04;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为4000,Reserved字段填充为0x04,此时VM01被完全隔离,VTEP不会转发VM01的报文至包括正常VXLAN VNI2000以及隔离VXLANVNI1000 中的任何虚拟机;虚拟机VM01的风险计时器超过40分钟时,SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
实施例六
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于完全隔离VXLAN VNI4000中被完全隔离,无法和正常VNI2000和修复隔离VXLAN VNI3000中的任何虚拟机进行通信;在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为80,设定虚拟机VM01的风险数值计时器计时时间为60分钟;SDN控制器对虚拟机VM01进行风险评估,风险评估要素为操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值,并最终计算出风险数值为89,同时启动虚拟机VM01的风险数值计时器;SDN控制器将风险数值存储在本地并与风险阈值进行比较,发现风险数值-风险阈值 < 20,此时通知VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为3000,VXLAN报文头中的Reserved字段重置为值0x03;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为3000,Reserved字段填充为0x03,因此VM01只能与修复隔离VXLAN VNI3000中的虚拟机通信;虚拟机VM01的风险计时器超过60分钟时,SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
实施例七
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于修复隔离VXLAN VNI3000中,无法和正常VNI2000中的其他虚拟机进行通信;在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为85,设定虚拟机VM01的风险数值计时器计时时间为120分钟;SDN控制器对虚拟机VM01进行风险评估,风险评估要素为操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、rootkit风险数值,并最终计算出风险数值为78,同时启动虚拟机VM01的风险数值计时器;SDN控制器将风险数值存储在本地并与风险阈值进行比较,发现风险数值<风险阈值,此时通知VM01所在网络的本地VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为2000,报文头中的Reserved字段重置为值0x02;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为2000,Reserved字段填充为0x02,因此VM01能够和正常VNI2000中的虚拟机进行通信;虚拟机VM01的风险计时器超过120分钟时,SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
实施例八
本实施例中VNI1000表示隔离VXLAN网络,风险等级代码用0x01表示,VNI1000网络中的虚拟机风险数值≥风险阈值;VNI2000表示正常VXLAN网络,VNI2000网络中的虚拟机风险数值<风险阈值,风险等级代码用0x02表示;VNI3000表示修复隔离VXLAN网络,修复隔离VXLAN网络表示风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20,对应虚拟机可以进入隔离VXLAN中进行修复,风险等级代码用0x03表示;VNI4000表示完全隔离VXLAN网络,完全隔离VXLAN网络表示风险数值大于风险阈值且风险数值减风险阈值的差值大于等于20,对应虚拟机需要完全隔离,不能够访问任何VXLAN,风险等级代码用0x04表示。
虚拟机VM01初始处于完全隔离VXLAN VNI4000中被完全隔离,无法和正常VNI2000和修复隔离VXLAN VNI3000中的任何虚拟机进行通信;在VXLAN网络中的SDN控制器上设定了VM01的风险阈值为90,设定虚拟机VM01的风险数值计时器计时时间为150分钟。SDN控制器对虚拟机VM01进行风险评估,风险评估要素为系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、rootkit风险数值,并最终计算出风险数值为66,同时启动虚拟机VM01的风险数值计时器;SDN控制器将风险数值存储在本地并与风险阈值进行比较,发现风险数值<风险阈值,此时通知VM01所在网络的本地VTEP设备更改VXLAN表,将VM01所对应条目的VXLAN VNI号变更为2000,报文头中的Reserved字段重置为值0x02;VM01发起新的通信请求,通信报文发送到VM01所在网络的本地VTEP设备,VTEP查找VXLAN表,将所有来自VM01的通信报文封装到VXLAN报文中,VXLAN报文头的VNI字段值填充为2000,Reserved字段填充为0x02,因此VM01能够和正常VNI2000中的虚拟机恢复通信。虚拟机VM01的风险计时器超过150分钟时,SDN控制器将重新对VM01进行风险评估并重新确定虚拟机VM01应处的VXLAN区域及进行相应的VXLAN更新工作。
Claims (7)
1.一种SDN环境下的虚拟机风险快速隔离方法,包括下述步骤:
步骤1:设定VXLAN中虚拟机的风险阈值,设定虚拟机的风险数值计时器计时时间;
步骤2:SDN控制器对VXLAN中的虚拟机进行风险评估,并将风险评估结果表示为风险数值,同时启动每个虚拟机的风险数值计时器,执行步骤3;
步骤3:将风险数值与风险阈值进行比较,如果某一虚拟机的风险数值大于或者等于风险阈值,则将该特定虚拟机的数据流量置于隔离VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为隔离风险等级代码;如果某一虚拟机的风险数值小于风险阈值,则将该特定虚拟机的数据流量置于正常VXLAN中,同时将该特定虚拟机的VXLAN报文头中的Reserved字段填充为正常风险等级代码,执行步骤4;
步骤4:当某一虚拟机的风险数值计时器达到设定的计时器计时时间时,对该特定虚拟机执行上述步骤2。
2.根据权利要求1所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于:所述隔离VXLAN包括完全隔离VXLAN、修复隔离VXLAN,所述隔离风险等级代码包括完全隔离风险等级代码、修复隔离风险等级代码,当某一特定虚拟机的风险数值大于风险阈值且风险数值减风险阈值的差值大于或等于20时,将该特定虚拟机的数据流量置于完全隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为完全隔离风险等级代码;当某一特定虚拟机的风险数值大于等于风险阈值且风险数值减风险阈值的差值小于20时,将该特定虚拟机的数据流量置于修复隔离VXLAN中,同时将VXLAN报文头中的Reserved字段重置为修复隔离风险等级代码。
3.根据权利要求1所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于:所述风险数值的评估要素由操作系统版本风险数值、系统漏洞风险数值、数据库漏洞风险数值、配置文件内容变动风险数值、Hypervisor模块完整性风险数值、木马风险数值、Rootkit风险数值中的一种或几种因子构成;所述SDN控制器在生成风险数值的同时一并生成与风险数值一一对应的风险等级代码,并在SDN控制器上形成虚拟机和风险等级代码的实时对应表,所述风险数值、风险等级代码、实时对应表保存在SDN控制器上。
4.根据权利要求1所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于,采用下述方法将虚拟机的数据流量置于隔离VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新该虚拟机对应的VXLAN的VNI号为隔离VXLAN的VNI号;该虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入隔离VXLAN的VNI号。
5.根据权利要求1所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于,采用下述方法将虚拟机的数据流量置于正常VXLAN中:SDN控制器向虚拟机所在网络的本地VTEP设备发送通告,更新虚拟机对应的VXLAN的VNI号为正常VXLAN的VNI号;虚拟机在发送后续报文时,VTEP设备将封装虚拟机报文,并在VXLAN报文头的VNI字段中填入正常VXLAN的VNI号,使虚拟机的所有通信报文被正常转发至目的VXLAN中。
6.根据权利要求1至权利要求5任意一项权利要求所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于:所述风险阈值设置在70至80之间。
7.根据权利要求1至权利要求5任意一项权利要求所述的一种SDN环境下的虚拟机风险快速隔离方法,其特征在于:所述计时器计时时间设置在30至40分钟之间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611219904.9A CN106534201B (zh) | 2016-12-26 | 2016-12-26 | 一种sdn环境下的虚拟机风险快速隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611219904.9A CN106534201B (zh) | 2016-12-26 | 2016-12-26 | 一种sdn环境下的虚拟机风险快速隔离方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106534201A true CN106534201A (zh) | 2017-03-22 |
| CN106534201B CN106534201B (zh) | 2019-01-29 |
Family
ID=58338129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611219904.9A Active CN106534201B (zh) | 2016-12-26 | 2016-12-26 | 一种sdn环境下的虚拟机风险快速隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534201B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389877A (zh) * | 2022-01-10 | 2022-04-22 | 河南能睿科技有限公司 | 用于零信任网络的身份信任评估方法及其相关产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150052614A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
| CN104991809A (zh) * | 2015-06-18 | 2015-10-21 | 浪潮电子信息产业股份有限公司 | 一种基于可信计算的虚拟机准入方法及装置 |
| CN105429870A (zh) * | 2015-11-30 | 2016-03-23 | 北京瑞和云图科技有限公司 | Sdn环境下的vxlan安全网关装置及其应用方法 |
| CN105791286A (zh) * | 2016-03-01 | 2016-07-20 | 上海海事大学 | 云端虚拟环境的异常检测和处理方法 |
| US20160285906A1 (en) * | 2015-03-23 | 2016-09-29 | Empire Technology Development Llc | Virtual machine placement |
| CN106161457A (zh) * | 2016-07-26 | 2016-11-23 | 刘昱 | 基于sdn的网络域隔离装置及方法 |
-
2016
- 2016-12-26 CN CN201611219904.9A patent/CN106534201B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150052614A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
| US20160285906A1 (en) * | 2015-03-23 | 2016-09-29 | Empire Technology Development Llc | Virtual machine placement |
| CN104991809A (zh) * | 2015-06-18 | 2015-10-21 | 浪潮电子信息产业股份有限公司 | 一种基于可信计算的虚拟机准入方法及装置 |
| CN105429870A (zh) * | 2015-11-30 | 2016-03-23 | 北京瑞和云图科技有限公司 | Sdn环境下的vxlan安全网关装置及其应用方法 |
| CN105791286A (zh) * | 2016-03-01 | 2016-07-20 | 上海海事大学 | 云端虚拟环境的异常检测和处理方法 |
| CN106161457A (zh) * | 2016-07-26 | 2016-11-23 | 刘昱 | 基于sdn的网络域隔离装置及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389877A (zh) * | 2022-01-10 | 2022-04-22 | 河南能睿科技有限公司 | 用于零信任网络的身份信任评估方法及其相关产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106534201B (zh) | 2019-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| CN110225008A (zh) | 一种云环境下sdn网络状态一致性验证方法 | |
| CN105933361B (zh) | 基于可信计算的大数据安全防护云系统 | |
| CN106599694A (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
| CN109617813A (zh) | 增强的智能过程控制交换机端口锁定 | |
| CN105871885A (zh) | 一种网络渗透测试方法 | |
| CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN107180175A (zh) | 配送方法和配送装置以及配送系统 | |
| CN104065622B (zh) | 网络设备的安全预警方法及装置 | |
| CN102118271A (zh) | 发现非法接入设备的方法 | |
| CN106713354A (zh) | 一种基于不可检测信息攻击预警技术的电力信息物理系统脆弱性节点评估方法 | |
| CN108521347A (zh) | 工控运维行为审计方法、装置及系统 | |
| KR101692155B1 (ko) | 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN108011894A (zh) | 一种软件定义网络下僵尸网络检测系统及方法 | |
| CN107733863A (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN105897728A (zh) | 一种基于sdn的反病毒系统 | |
| CN106850690A (zh) | 一种蜜罐构造方法及系统 | |
| CN107645472A (zh) | 一种基于OpenFlow的虚拟机流量检测系统 | |
| CN106685953A (zh) | 一种基于安全基线样本机的未知文件检测系统及方法 | |
| CN104951354A (zh) | 一种基于动态迁移的虚拟机调度算法安全性验证方法 | |
| KR20170057030A (ko) | 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 | |
| CN106453333A (zh) | 虚拟化平台的防火墙规则创建方法及装置 | |
| CN108574668A (zh) | 一种基于机器学习的DDoS攻击流量峰值预测方法 | |
| CN113935178A (zh) | 一种云原生混沌工程实验的爆炸半径控制系统及方法 | |
| CN105933467A (zh) | 一种客户端主机信息变更的周期性检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |